Palo Alto - начальная настройка

-

Username: admin 
Password: admin

Главная особенность этого файервола в его удобном GUI. Чтоб ним пользоваться, надо настроить Managment
configure the management interface of the Palo Alto Networks firewal:
MGT interface IP: 192.168.192.200
MGT interface mask: 255.255.255.0
MGT interface gateway:192.168.192.100
MGT interface DNS server: 8.8.8.8

Пало альто является зонным файерволом. Сети на разных интерфейсах не могут быть в одной сети. Т.е инт е1/1 192.168.1.10 не может быть настроен с инт е1/2 192.168.1.100, так как они в одной сети. Так же сети не могут пересекаться с MNG сетью

#configure 
∟ set deviceconfig system ip-address 192.168.11.11 netmask 255.255.255.0 default-gateway 192.168.11.254 dns-setting servers primary 8.8.8.8
#commit 

-----------------------configure interface----------------------------
Для того, чтоб был пинг между интерфейсом PA и хостом, находящимся в той же сети нужно
1. назначить ip адресс итнтерфейсу
2. добавить этот интерфейс к виртуальному роутеру, чтоб был маршрутизация внутри роутера (проверяется пингом с одного интерфейса на другой внутри PA)
3. добавить этот интерфейс к конкретной security ZONE
4. добавить  managment profile (чтоб разрешить пинг)

Если не выполнен пункт 1, то при пинге с хотса будет писать:


Если выполнено только 1 пункт, но не выполнены другие, то будет писать:



#configure
edit network interface
 ∟ set ethernet ethernet1/3 layer3 ip 200.1.1.1/30
   set ethernet ethernet1/4 layer3 ip 10.0.0.1/24
   delete ethernet ethernet1/4 layer3 ip 10.0.0.1/24
                         (если надо удалить ip адрес) 
# commit
------------------------------------------------------------------------------------
создаем новую зону без политик и привязываем интерфейсы
# configure
∟ set zone trust network layer3 ethernet1/4 
  set zone untrust network layer3 ethernet1/3

можно удалить привязку  интерфейса к зоне командой
#configure 
 ∟ delete zone trust network layer3 ethernet1/4
-------------------------------------------------------------
1) создаем виртуальный роутер "static-route", создаем статический маршрут "default-route" к сети 0.0.0.0/0 через nexthop адрес 200.1.1.2 
2) привязываем этот виртуальный роутер к интерфейсу 
#configure
∟ set network virtual-router static-route routing-table ip static-route default-route destination 0.0.0.0/0 nexthop ip-address 200.1.1.2
∟ set network virtual-router static-route interface ethernet1/3
------------------------------------------------------------
создаем профиль, который потом повесим на интерфейс
#Configure
 ∟ set network profiles interface-management-profile man ssh yes https yes
ping yes telnet yes
вешаем профиль на интерфейс
#configure
∟ edit network interface
 ∟ set ethernet ethernet1/1 layer3 interface-management-profile man

--------------------------------------------------------------------------------
Если есть пинг между хостами через ПА, и можно пинговать с хостов любой интерфейс (кроме менеджмента),  но пинг с палоальто наружу не идёт, то надо прописать статический маршрут для mng-интерфейса, тк по дефолту ПА использует mng-int для обращения к серверам.

(√) h---PA--h
(x) PA--h

#set deviceconfig system route destination 10.66.22.245 source address 10.66.22.88/24
Теперь мы можем пинговать ip 10.66.22.245 с ПА
 

Comments

Post a Comment

Popular posts from this blog

Петли L2, методы борьбы (PortFast, LoopGuard, BPDU guard, BPDU filter)

-
Петли в сетях Петли в коммутируемой сети могут возникнуть по нескольким причинам: Отключен STP; PVST BPDU передает идентификатор VLAN. Если на access-интерфейсе полученный идентификатор VLAN'а не совпадает с VLAN ID в котором было получено BPDU, то порт переводится в заблокированное состояние для этого VLAN; Различные версии STP; Разные native VLAN'ы на концах транка; Слишком маленькие таймеры STP; Большое количество хопов в топологии STP.  Опциональные настройки STP Loop Guard BPDU Guard Root Guard PortFast BPDU Filter UDLD Функции PortFast, BPDU guard, BPDU filtering, EtherChannel guard, root guard или loop guard могут быть настроены в режиме PVST+, rapid PVST+ или MSTP. Функции UplinkFast, BackboneFast или cross-stack UplinkFast могут быть настроены в режиме rapid PVST+ или MSTP, но они будут оставаться выключенными (inactive) до тех пор пока режим не будет изменен на PVST+ (так как они уже вшииы в rapid pvst+) Port Fast Portfast ...
Read more

Проброска static маршрута в OSPF

-
Image
У нас есть лакальная и внешняя сеть. Надо пинговать 8.8.8.8 с R4. Все роутеры, кроме R3 работают по OSPF 1) Чтоб попадать во внешнюю (9.147.10.0/23) сеть с локальной, нам надо прописать PAT на интерфейсе роутера R2 (F0/0), смотрящего во внешнюю сеть. Теперь пинги с любой внутренней сети будут идти во внешнюю с ip адресом 9.147.11.220 2) Чтоб мы могли пинговать адрес 8.8.8.8 с R2, на нем надо прописать gateway - R3. Есть несколько вариантов - ip route 0.0.0.0 0.0.0.0 9.147.10.4 - ip default-network 9.147.10.0 - ip default-gateway 9.147.10.4 Проблема: ○ ip route - статический маршрут, и не передаётся по OSPF, т.е. с R0 и R4 пакеты не будут уходить, так как по OSPF этот                  маршрут не передатся ○ ip default-network так же не передаётся по OSPF ○ ip-default gateway работает, только когда выключен ip routing Решение: 1. Default-information oroginate Пробросить статический ...
Read more

PUTTY lifehack

-
Image
Увеличение количества строк терминала Часто в результате каких-то действий в консоль выводится большое количество информации, и вам необходимо её пролистать. Однако, настройки по умолчанию ограничивают вывод двумя сотнями последних строк. Для изменения этого параметра откройте окно настроек, перейдите в категорию Window и измените параметр Lines of scrollback на подходящее вам значение, к примеру, 5000.   Полезные горячие клавиши Копирование и вставка текста Для копирования текста из консоли PuTTY нужно просто выделить текст - он автоматически скопируется в буфер обмена. Для вставки текста в консоль используется сочетание клавиш Shift+Insert, либо можно просто нажать в консоли правой кнопкой мыши. Редактирование вводимой команды Ctrl+A – переместить курсор в начало вводимой строки Ctrl+E – переместить курсор в конец вводимой строки Alt+F – переместить курсор к следующему слову во вводимой строке Alt+B – переместить курсор к предыдущему слову во в...
Read more